Mobile platfoarm ûntwikkelers , dy't CyanogenMod ferfong, oer it identifisearjen fan spoaren fan hacking fan 'e projektynfrastruktuer. It wurdt opmurken dat om 6 oere (MSK) op maaie 3, de oanfaller slagge om tagong te krijen ta de haadtsjinner fan it sintralisearre konfiguraasjebehearsysteem troch eksploitaasje fan in unpatched kwetsberens. It ynsidint wurdt op it stuit analysearre en details binne noch net beskikber.
allinich dat de oanfal gjin ynfloed hat op 'e kaaien foar it generearjen fan digitale hantekeningen, it assemblagesysteem en de boarnekoade fan it platfoarm - de kaaien op hosts folslein apart fan 'e haadynfrastruktuer beheard fia SaltStack, en bouwurken waarden stoppe om technyske redenen op 30 april. Te oardieljen nei de ynformaasje op 'e side De ûntwikkelders hawwe de tsjinner al hersteld mei it Gerrit-koadebeoardielingssysteem, de webside en de wiki. De tsjinner mei gearkomsten (builds.lineageos.org), it portaal foar it ynladen fan bestannen (download.lineageos.org), e-posttsjinners en it systeem foar it koördinearjen fan trochstjoeren nei spegels bliuwe útskeakele.
De oanfal waard mooglik makke troch it feit dat it netwurk haven (4506) foar tagong ta SaltStack blokkearre foar eksterne oanfragen troch de brânmuorre - de oanfaller moast wachtsje op in krityske kwetsberens yn SaltStack om te ferskinen en te eksploitearjen foardat behearders in update ynstalleare mei in fix. Alle SaltStack-brûkers wurde advisearre om har systemen driuwend te aktualisearjen en te kontrolearjen op tekens fan hacking.
Blykber wiene oanfallen fia SaltStack net beheind ta it hacken fan LineageOS en waarden wiidferspraat - oerdeis, ferskate brûkers dy't gjin tiid hiene om SaltStack te aktualisearjen identifisearje it kompromis fan har ynfrastruktuer mei it pleatsen fan mynboukoade as efterdoarren op servers. Ynklusyf oer in soartgelikense hacking fan 'e ynfrastruktuer foar ynhâldbehearsysteem .
29 april wiene SaltStack platfoarm updates и , dêr't se waarden eliminearre (ynformaasje oer de kwetsberens waard publisearre op 30 april), dy't it heechste nivo fan gefaar wurde tawiisd, om't se sûnder autentikaasje binne útfiering fan koade op ôfstân sawol op 'e kontrôlehost (salt-master) en op alle servers dy't dêrtroch wurde beheard.
- Earste kwetsberens () wurdt feroarsake troch in gebrek oan juste kontrôles by it oproppen fan metoaden fan 'e ClearFuncs-klasse yn it sâltmasterproses. De kwetsberens lit in brûker op ôfstân tagong krije ta bepaalde metoaden sûnder autentikaasje. Ynklusyf fia problematyske metoaden kin in oanfaller in token krije foar tagong mei rootrjochten nei de masterserver en alle kommando's útfiere op 'e tsjinne hosts wêrop de daemon rint . De patch dy't dizze kwetsberens elimineart wie 20 dagen lyn, mar nei it brûken kamen se boppe , dy't liedt ta mislearrings en fersteuring fan triemsyngronisaasje.
- Twadde kwetsberens () makket it mooglik, troch manipulaasjes mei de ClearFuncs-klasse, tagong te krijen ta metoaden troch op in bepaalde manier opmakke paden troch te jaan, dy't brûkt wurde kinne foar folsleine tagong ta willekeurige mappen yn 'e FS fan 'e mastertsjinner mei rootrjochten, mar fereaskje autentike tagong ( sa'n tagong kin wurde krigen mei de earste kwetsberens en brûk de twadde kwetsberens om de folsleine ynfrastruktuer folslein te kompromittearjen).
Boarne: opennet.ru